ウェブ決済で被害が拡大
システムと人的フォローで被害を予防

決済の「不正利用モデル」が確立

楽天の秋元氏　旅行業界におけるクレジットカード不正利用の実態はどのようなものか。楽天コマースカンパニーCCO兼トラベル事業品質管理室オフィスマネージャーの秋元智広氏は本誌のインタビューに応え、旅行業界でのカードの不正利用のなかでも、特にウェブサイトでのカード決済は「カードの実物がなくても番号と有効期限があればどこでも決済できる」ことから、不正に利用されやすい点を指摘した。秋元氏によると、日本ではカード会社にオーソリ（与信の確保）する際に、対象者の氏名が問われないケースがあるという。

　さらに、同氏はカード番号やセキュリティコードなどの情報が漏れて闇サイトで販売されていること、架空のカード番号を自動的に作るソフトや、番号と紐付いた有効期限、セキュリティコードなどを調べるソフトがあることを説明。「これまでOTAをはじめとした旅行業は換金性が低く、現金化が難しかったためねらわれてこなかった」としながらも、最近はOTAに損害を与える悪徳業者が「不正利用モデル」を確立し、OTAを狙っていることを紹介した。

　この不正利用モデルでは、例えばホテルを利用したい消費者が悪徳業者に予約を依頼し、悪徳業者は不正カードを使用してOTAでホテルを決済した後、OTAに掲載されている金額よりも安い金額で消費者に転売。悪徳業者にとっては消費者への売値が利益になる。

　その後、カード会社は不正カードの本来の持ち主に宿泊料金を請求するが、本来の持ち主が支払いを否認する。すると、カード会社はOTAにチャージバック（カード売上の取消）を実施。OTAはチャージバックされた宿泊料金を負担することになる。

カード会社の本人確認制度「3Dセキュア」に課題

　不正利用の防止対策はカード会社も実施しており、その1つが本人確認制度「3Dセキュア」だ。加盟店が3Dセキュアを導入すると、消費者が加盟店の決済ページにカード情報を入力した際、自動的にカード会社のウェブページに遷移するようになる。消費者は遷移したページで、自身が予め設定したIDやパスワードを入力して決済する。カード会社の画面で決済するため、本来の持ち主が支払いを否認した場合、加盟店ではなくカード会社がチャージバック分を負担する。

　ただし、秋元氏は「3Dセキュアは一般的なOTAはほとんど使用していない」と説明。理由として、3Dセキュアの認知度が低く、消費者がカード会社のページに遷移した際にパスワードなどの入力に不信感を抱くことを挙げた。また、利用者が設定したIDやパスワードを忘れてしまい、パスワードを探す間に面倒になり、旅行商品の購買意欲が損なわれる可能性もあるという。

　さらに、加盟店が3Dセキュアを導入した場合、不正利用があった場合はカード会社がチャージバック分を負担するため、不正利用されたカードの情報や被害額は、加盟店にはわからない。加盟店は通常のカードと不正カードの区別ができないので、自社で不正カードの利用を防止できないことも課題として挙げた。カードの不正利用が多くなりすぎると、カード会社からカード決済を停止させられる可能性もあり、実際にOTAでそうした事例も発生しているという。